none
域时间同步问题 RRS feed

  • 问题

  • 环境,单域,单域控,win server 2003。以前域控时间错误,于正确时间相差1年以上,联网状态下客户端也能登入,且客户端时间会同步成和域控一样的错误时间。现在更换了一台域控,旧的停用了,现在域控时间不对,客户端就无法登入了。这是什么原因,求解答,谢谢
    2012年9月19日 8:19

答案

  • 您好,简单的来讲,DC时间和Client上时间不能相差太多(默认策略是5分钟),是由于AD所使用的Kerberos身份验证协议所限制的。

    为了防止“轮番攻击”,Kerberos 将时间戳用作其协议定义的一部分。

    为使时间戳正常工作,客户端和域控制器的时钟应尽可能的保持同步。换言之,应该将这两台计算机设置成相同的时间和日期。因为两台计算机的时钟常常不同步,所以管理员可使用该策略来设置 Kerberos V5 所能接受的客户端时钟和域控制器时钟间的最大差值。如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差,那么在这两台计算机的会话中使用的任何时间戳都将被认为是可信的。

    注意:      

    •       该设置并不是永久性的。如果配置该设置后重新启动计算机,那么该设置将被还原为默认值。

    默认:5 分钟。


    面帶微笑,春暖花開

    2012年9月19日 10:45
    版主

全部回复

  • 您好,简单的来讲,DC时间和Client上时间不能相差太多(默认策略是5分钟),是由于AD所使用的Kerberos身份验证协议所限制的。

    为了防止“轮番攻击”,Kerberos 将时间戳用作其协议定义的一部分。

    为使时间戳正常工作,客户端和域控制器的时钟应尽可能的保持同步。换言之,应该将这两台计算机设置成相同的时间和日期。因为两台计算机的时钟常常不同步,所以管理员可使用该策略来设置 Kerberos V5 所能接受的客户端时钟和域控制器时钟间的最大差值。如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差,那么在这两台计算机的会话中使用的任何时间戳都将被认为是可信的。

    注意:      

    •       该设置并不是永久性的。如果配置该设置后重新启动计算机,那么该设置将被还原为默认值。

    默认:5 分钟。


    面帶微笑,春暖花開

    2012年9月19日 10:45
    版主
  • 您好,简单的来讲,DC时间和Client上时间不能相差太多(默认策略是5分钟),是由于AD所使用的Kerberos身份验证协议所限制的。

    为了防止“轮番攻击”,Kerberos 将时间戳用作其协议定义的一部分。

    为使时间戳正常工作,客户端和域控制器的时钟应尽可能的保持同步。换言之,应该将这两台计算机设置成相同的时间和日期。因为两台计算机的时钟常常不同步,所以管理员可使用该策略来设置 Kerberos V5 所能接受的客户端时钟和域控制器时钟间的最大差值。如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差,那么在这两台计算机的会话中使用的任何时间戳都将被认为是可信的。

    注意:      

    •       该设置并不是永久性的。如果配置该设置后重新启动计算机,那么该设置将被还原为默认值。

    默认:5 分钟。


    面帶微笑,春暖花開

    谢谢你的解答。这个设置我知道,所以我只是奇怪我遇到的情况。我意思是客户端在还未登入到域的情况下就被同步成了和现实相差1年以上的错误时间了。

    2012年9月20日 0:33